FireEye ETP
Versão da integração: 6.0
Casos de uso
Ingerir alertas do Trellix Email Security - Cloud Edition e usá-los para criar alertas do Google Security Operations. Em seguida, no Google SecOps, os alertas podem ser usados para realizar orquestrações com playbooks ou análises manuais.
Configurar a integração do FireEye ETP para funcionar com o Google SecOps
Onde encontrar a chave de API
- Acesse as configurações da conta.
- Selecione a seção "Chaves de API".
- Clique no botão "Criar chave de API".
- Preencha os campos obrigatórios. Como produto, escolha "Prevenção contra ameaças por e-mail".
- Pressione o botão "Próxima".
- Pressione o botão "Conceder tudo".
- Clique no botão "Criar chave de API".
- Copie a chave de API e cole no parâmetro de configuração da integração "Chave de API".
Configurar a integração do FireEye ETP no Google SecOps
Para instruções detalhadas sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
Parâmetros de integração
Use os seguintes parâmetros para configurar a integração:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Raiz da API | String | https://etp.us.fireeye.com | Sim | Raiz da API da instância do Trellix Email Security - Cloud Edition. |
| Chave de API | String | N/A | Sim | Chave de API da conta do Trellix Email Security - Cloud Edition. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor Anomali Staxx Check Point Cloud Guard Dome9 é válido. |
Ações
Ping
Descrição
Teste a conectividade com o Trellix Email Security - Cloud Edition usando os parâmetros fornecidos na página de configuração da integração na guia "Marketplace" do Google Security Operations.
Executar em
A ação não é executada em entidades nem tem parâmetros de entrada obrigatórios.
Parâmetros
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| N/A |
Resultados da ação
Resultado do script
| Nome do resultado do script | Opções de valor |
|---|---|
| is_success | is_success=False |
| is_success | is_success=True |
Painel de casos
| Tipo de resultado | Valor/descrição | Tipo |
|---|---|---|
| Mensagem de saída* | A ação não pode falhar nem interromper a execução de um playbook:
A ação precisa falhar e interromper a execução de um playbook:
|
Geral |
Conector
Conector de alertas de e-mail do FireEye ETP
Descrição
Extrai alertas do Trellix Email Security - Cloud Edition. Os alertas do Trellix Email Security – Cloud Edition são agrupados com base no ID do e-mail em um alerta do Google SecOps.
Configurar o conector de alertas por e-mail do FireEye ETP no Google SecOps
Para instruções detalhadas sobre como configurar um conector no Google SecOps, consulte Configurar o conector.
Parâmetros do conector
Use os seguintes parâmetros para configurar o conector:
| Nome de exibição do parâmetro | Tipo | Valor padrão | É obrigatório | Descrição |
|---|---|---|---|---|
| Nome do campo do produto | String | Nome do produto | Sim | Insira o nome do campo de origem para recuperar o nome do campo do produto. |
| Nome do campo do evento | String | alertType | Sim | Insira o nome do campo de origem para recuperar o nome do campo de evento. |
| Nome do campo de ambiente | String | "" | Não | Descreve o nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o ambiente será o padrão. |
| Padrão de regex do ambiente | String | .* | Não | Um padrão de regex a ser executado no valor encontrado no campo "Nome do campo de ambiente". O padrão é ".*" para capturar tudo e retornar o valor sem alterações. Usado para permitir que o usuário manipule o campo de ambiente usando a lógica de regex. Se o padrão de regex for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
| Tempo limite do script (segundos) | Número inteiro | 180 | Sim | Limite de tempo limite para o processo Python que executa o script atual. |
| Raiz da API | String | https://etp.us.fireeye.com | Raiz da API da instância do Trellix Email Security - Cloud Edition. | |
| Chave de API | String | N/A | Sim | Chave de API da conta do Trellix Email Security - Cloud Edition. |
| Voltar o tempo máximo | Número inteiro | 1 | Não | Número de horas de onde buscar alertas. |
| Fuso horário | String | Não | Fuso horário da instância. Padrão: UTC. Por exemplo, +1 será UTC+1 e -1 será UTC-1. | |
| Usar a lista de permissões como uma lista de proibições | Caixa de seleção | Desmarcado | Sim | Se ativada, a lista de permissões será usada como uma lista de bloqueios. |
| Verificar SSL | Caixa de seleção | Desmarcado | Sim | Se ativada, verifique se o certificado SSL da conexão com o servidor Anomali Staxx é válido. |
| Endereço do servidor proxy | String | N/A | Não | O endereço do servidor proxy a ser usado. |
| Nome de usuário do proxy | String | N/A | Não | O nome de usuário do proxy para autenticação. |
| Senha do proxy | Senha | N/A | Não | A senha do proxy para autenticação. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.